أعلنت عصابة Akira Ransomware مسؤوليتها عن الهجوم السيبراني على أنظمة شركة Lush لصناعة مستحضرات التجميل ومتاجر التجزئة التي يقع مقرها الرئيسي في المملكة المتحدة، والذي كان تم الكشف عنها لأول مرة في وقت سابق من هذا الشهر.
وأكدت Lush أنها تحقق في حادث مباشر للأمن السيبراني في 11 يناير 2024وقالت إنها تجري تحقيقا شاملا بمساعدة خارجية، وأنها اتخذت بالفعل خطوات لفحص وتأمين أنظمتها.
ظل موقع Lush الإلكتروني متاحًا طوال الوقت، كما هو الحال مع متاجرها التقليدية، مما يشير إما إلى أن تأثير الهجوم السيبراني كان محدودًا للغاية، أو أن المنظمة قد نشرت تدابير تخفيف فعالة.
بحسب ال RansomLock وهو مشروع مفتوح المصدر لتتبع برامج الفدية، والذي يراقب المدونات ومواقع التسريب ومصادر المعلومات الأخرى، وقد نشرت العصابة تفاصيل اختراقها في وقت سابق اليوم (الجمعة 26 يناير).
وذكرت أنها حصلت على 110 غيغابايت من البيانات من أنظمة Lush، بما في ذلك المستندات الشخصية وبيانات جواز السفر والمعلومات المحاسبية والمالية والمشاريع الجارية وبيانات العملاء. ولم يكن من الممكن التحقق من شرعية هذا الادعاء. اتصلت Computer Weekly بـ Lush، لكنها لم تتلق أي رد حتى وقت النشر.
وقال تشيستر ويسنيوسكي، المدير والرئيس التنفيذي للتكنولوجيا الميداني العالمي في سوفوس: “من غير الواضح ما إذا كان هذا هجومًا ببرنامج فدية أو ابتزازًا بسيطًا، حيث لاحظت خدمات الاستجابة للحوادث في سوفوس أن هذا الطاقم ينخرط في أي من النشاطين أو كليهما مع ضحاياهم. إذا كان الأمر ابتزازًا بدون مكون تشفير، فقد يكون هذا هو السبب وراء عدم وجود أي تعطيل خارجي واضح لعمليات Lush.
وأضاف: “أكيرا يتطور ليصبح قوة لا يستهان بها”. “لقد شهدنا عددًا متزايدًا من الضحايا يقتربون من خدمة الاستجابة للحوادث لدينا. يبدو أنهم يفضلون الهجوم منتجات Cisco VPN الضعيفة وأدوات الوصول عن بعد دون نشر MFA. على الرغم من أننا لا نعرف سبب اختراق Lush المزعوم، إلا أن هذا يعد تذكيرًا رائعًا بأهمية التصحيح المناسب لجميع مكونات الشبكة الخارجية ومتطلبات المصادقة متعددة العوامل لجميع تقنيات الوصول عن بُعد.
سُميت على اسم فيلم الرسوم المتحركة لعام 1988 الذي يصور عصابات راكبي الدراجات النارية في مستقبل طوكيو البائس، ويُعتقد أن أكيرا قد بدأ عملياته في جميع أنحاء العالم. مارس 2023، عندما بدأ المستجيبون للحوادث لأول مرة في ملاحظة الروابط بين بعض الهجمات السيبرانية المماثلة التي تم فيها إسقاط ملاحظات متطابقة، مع ملفات مشفرة بامتداد .akira. يُعتقد أن برنامج الفدية السابق الذي يحمل نفس الاسم ليس له أي صلة.
من خلال التركيز على جمالية السايبربانك، لفتت العصابة الانتباه الفوري لموقع التسريب القديم باللونين الأسود والأخضر، والذي يتميز أيضًا بمطالبة الزوار والضحايا بإدخال أوامر للوصول إلى البيانات المسروقة، أو قراءة آخر الأخبار، أو الاتصال به.
بحلول نهاية عام 2023ومع ذلك، فقد تم ترسيخ الطاقم باعتباره تهديدًا “هائلًا”، خاصة بالنسبة للشركات الصغيرة والمتوسطة، وتسبب في سقوط المئات من الضحايا المزعومين.
ويستهدف في المقام الأول المؤسسات في أستراليا وأوروبا وأمريكا الشمالية، العاملة في قطاعات الحكومة والتصنيع والتكنولوجيا والتعليم والاستشارات والأدوية والاتصالات. ملاحظات Per Wisniewski أعلاه، يبدو أن العصابة أصبحت مؤيدًا قويًا بشكل خاص للتكتيك الناشئ المتمثل في تسريب البيانات دون تشفير أنظمة ضحاياها باستخدام خزانة برامج الفدية.
